Безымянный 28542

Выступив на конференции Gartner IT Security Summit в Лондоне, вице-президент
Gartner Джей Хейзер заявил, что фундаментальная проблема чисто технического
подхода заключается в том, что профессионалы по ИТ-безопасности не понимают
бизнеса. Предприятиям нужно выращивать и продвигать людей, разбирающихся не
только в вопросах безопасности, но и в хитросплетениях бизнеса.

«Ответственный за управление рисками» теперь важнее, чем традиционный
специалист по безопасности, который, одновременно занимаясь сетевым
администрированием, видит свою задачу в том, чтобы «тянуть деньги из директора
по ИТ» и блокировать проекты, которые могли бы принести пользу организации,
пояснил Хейзер. «Брандмауэром может управлять любой выпускник колледжа», —
добавил он, призывая предприятия взяться за решение более важной задачи оценки
собственных рисков и их приоритетов.

В качестве примера компании, принявшей подход использования на руководящих
должностях в сфере безопасности бизнес-ориентированных менеджеров, можно
привести страхового гиганта Zurich. Стефан Вогт, директор Zurich по ИТ-рискам,
рассказал участникам конференции, что его компания отдала на субподряд
традиционные аспекты ИТ и безопасности, такие как управление брандмауэром,
профилями пользователей и доступом к данным, сосредоточившись на более
стратегических вопросах.

«Мы не считаем управление брандмауэром своей повседневной задачей. У нас в
организации нет людей, которые этим занимаются. Теперь мы работаем на
стратегическом уровне, — сказал он. — Мы перешли от реагирования к
предвосхищению и прогнозу возможных ситуаций в будущем». Вог добавил, что в
верхней строке его списка приоритетов теперь значится политика, а брандмауэр
опустился на последнее место. По его словам, принятие такого подхода внесло
значительный вклад в снижение годовых расходов Zurich на ИТ почти с $2 млрд до
«около $1 млрд».

По словам Хейзера, рано распознавая риск, вместо того, чтобы бороться с уже
осуществившимися угрозами, предприятие значительно улучшает и окупаемость
инвестиций. Например, компании, которые вкладывают слишком много средств в
защиту по периметру, возможно, не понимают гигантского риска потери
интеллектуальной собственности внутри предприятия из-за того, что персонал
бесконтрольно вносит и выносит из компании портативные устройства.

«Перестаньте думать только о технике и позвольте предприятию интегрировать
все вопросы безопасности», — заявил Хейзер, утверждая, что компании, которые
продолжают бросать деньги в топку своих ИТ-подразделений, живут в «блаженном
неведении» о том, на что расходуются их инвестиции. Идеальными кандидатами на
роль моста через эту пропасть, по его словам, могут быть специалисты по
коммуникациям и управлению проектами — желательно, окончившие также бизнес-школу
по специальности «Управление рисками».

Хейзер добавил, что очень мало шансов на то, что технически мыслящий человек
сможет перешагнуть на эту новую промежуточную почву, оставаясь в рамках
ИТ-подразделения, если только у него нет очень хорошего представления об общей
картине бизнеса.

Вице-президент Gartner Пол Проктор добавил, что требования регулирующих
органов уже заставили компании вступить на этот путь: они начинают понимать, что
хоть ИТ-подразделение и участвует в процессе выполнения этих требований, ему
трудно охватить более широкую картину всех сторон бизнеса.










































Смотрите также:

No related posts.